안녕하세요. 정보보호 전문 업체 보안클라우드입니다.

이전 2017년에 작성된 랜섬웨어 글에 이어 오늘은 랜섬웨어에 대하여 더 자세히 살펴볼까 합니다. (랜섬웨어는 몸값을 뜻하는 Ransom과 Software가 합쳐진 합성어로, 사용자 컴퓨터의 파일을 암호화하여 이를 인질로 금품을 요구하는 바이러스입니다. 이전 포스트는 데이터를 이용한 인질극, 랜섬웨어에서 확인할 수 있습니다.)

랜섬웨어 감염 패턴

일반 개인도 랜섬웨어를 배포할 수 있는 RaaS 모델 과정(출 : 한국랜섬웨어침해대응센터)

공격자들은 다양한 공격 패턴 및 진화된 기술을 활용하여 랜섬웨어를 유포합니다. 또한 기존 개발자들이 개발 및 배포를 하던 것과 달리 개발자들은 배포자들의 요구에 따라 맞춤 제작하는 Ransomware as a Service(RaaS)의 확산으로 누구나 쉽게 배포할 수 있는 환경이 되었습니다. 이러한 랜섬웨어 패턴은 다음과 같습니다.

​

1. “악성코드가 포함된 파일”의 경우 다양한 방법으로 배포될 수 있습니다. 메일, SNS, P2P 프로그램, 불법 사이트 등 사용자들의 이목을 끌게 하여 클릭을 유도합니다.

2. “감염된 웹 사이트”의 경우 공격자가 웹 사이트를 감염시켜 사용자들이 접속하게 되면 악성코드에 감염되기도 합니다.

다음 영상은 랜섬웨어에 감염되면 어떠한 결과가 발생하는지 시연한 영상입니다.



랜섬웨어 감염 전/후 파일 내용

시연 영상을 보면 한글로 작성되어 있는 데이터 파일이 존재하지만, 랜섬웨어에 감염되면 데이터 파일의 확장자와 배경화면이 변경되는 것을 확인할 수 있습니다. 변조된 데이터를 열람한 결과 한글로 작성되어 있던 데이터 파일이 알 수 없는 문자가 적힌 내용으로 변경되는 것을 확인할 수 있었습니다. 또한 새로 나타난 프로그램 창에서는 파일을 복구하기 위해서는 비트코인을 요구하는 것을 확인할 수 있었습니다. 시연 영상을 통하여 랜섬웨어에 감염되면 어떻게 되는지에 대해 간단히 알아보았는데요, 어떠한 랜섬웨어의 경우는 공격자가 요구한 금액을 지불하여도 데이터를 복구를 해주지 않는 사례가 많이 존재합니다.

랜섬웨어 동향

2019년부터 연도별 랜섬웨어 감염으로 지급된 가상화폐 총액(출처 : 체이널리시스)

2024년 2월 8일 블록체인 데이터 분석 기업 체이널리시스는 최근 2024 가상자산 범죄 보고서를 발표했습니다. 2023년에는 더욱 넓은 공격의 범위 및 복잡성이 크게 증가하여 2022년 잠시 주춤했던 것과 달리 2배 이상의 금액인 10억 달러를(1조 5천억 원) 넘는 금액을 데이터의 몸값으로 지불하였습니다. 코로나 시대에 들어 대다수의 사람들이 재택근무를 시작하게 되었습니다. 평소 엄격히 관리되었던 보안 규정이 갑작스러운 재택근무로 인해 관리해야 하는 포인트가 늘어남과 개개인의 보안 의식 저하로 인해 랜섬웨어에 주된 타깃이 되어 랜섬웨어 사고가 빈번히 발생하였는데요, 이로 인하여 2019년에 비해 재택근무가 활발히 도입된 2020년에는 4배가 넘는 금액을 지불하였으며 코로나가 끝나가는 시점인 2022년 지불 금액이 감소하였습니다. 그러나 여러 통계에 따르면 이는 실제 공격 횟수가 감소한 것이 아니라 랜섬웨어 공격자에게 비용을 지불하려는 피해자의 의지가 감소하여 감소한 것으로 이야기하고 있습니다. 피해자들의 의지가 감소하여 감염율 및 수익이 감소하게 되자 공격자들은 유포방식에 변화를 주었습니다. 보고서에 따르면, 공격자들은 지난 몇 년간 공격 횟수는 줄이되 공격 성공 시 더 큰 금액을 얻을 수 있는 기업을 대상으로 하고 있습니다. 병원, 학교, 정부 기관 등 중요 인프라가 주요 표적이 되었으며 유비쿼터스 파일 전송 소프트웨어인 MOVEit을 악용하여 다양한 분야에서 심각한 혼란을 일으켰습니다.

사례 1

미국 동부 석유회사 랜섬웨어 감염

2021년에 미국의 석유 회사인 C회사가 랜섬웨어 공격을 당해 공격을 최소화하기 위해 모든 시스템을 정지키시고도 해커 측에 500만 달러(56억원)를 지불하는 사건이 발생하였습니다. 이로 인해 동부 지역에서 가스 및 기름의 공급이 감소하고 가격이 상승하는 등의 영향을 미쳤습니다. 가스 부족으로 인해 주행 차량이나 비행기 등의 운송에 영향을 미치며, 소비자와 기업 모두에게 불편을 초래했습니다. 이 사건은 사이버 보안 문제의 심각성과 기업의 디지털 보안에 대한 증가된 관심을 불러일으키는 계기가 되었습니다.

https://www.reuters.com/technology/colonial-pipeline-halts-all-pipeline-operations-after-cybersecurity-attack-2021-05-08/ [출처 : Reuters]

사례 2

루마니아 병원 내부 정보를 관리하는 정보시스템 랜섬웨어 감염

다음 기사 내용을 살펴보자면, 랜섬웨어 공격자들이 2024년 루마니아 병원들이 사용하는 플랫폼을 공격하였는데, 루마니아 병원 100여 곳이 마비되었다고 합니다. 공격당한 플랫폼은 의료 기록과 행정 관리 정보를 관리하고 있으며, 랜섬웨어로 인하여 특정 서버들의 데이터가 암호화되어 서버에 연결된 병원들은 정상적으로 운영할 수 없었으며 25개의 병원이 직접적인 영향을 받고 예방 차원에서 79개 병원이 임시 폐쇄하였습니다.

https://www.boannews.com/media/view.asp?idx=126668&page=1&kind=1 [출처 : 보안뉴스]

대응 방안

현재까지 알려진 랜섬웨어는 바이러스 백신을 통해 방지할 수 있지만, 새로운 유형의 랜섬웨어들은 이러한 방식으로는 효과적으로 예방할 수 없습니다. 전문가라 하더라도 피싱이나 잘못된 클릭 및 다운로드를 통해 공격당할 수 있기 때문에 알 수 없는 URL 주소에 접속하지 않으며 신뢰할 수 없는 사이트에 올려진 파일(exe 확장자 파일 등)을 다운로드하지 않는 습관을 지니는 것이 가장 안전한 예방이라 할 수 있습니다.

이상으로 랜섬웨어에 대해 오랜만에 이야기해보았는데요. 점차 발전되는 백신을 회피하기 위해 다양하게 변종된 랜섬웨어가 나타나고 있습니다. 미국에서는 하이브(Hive) 랜섬웨어 집단의 주요 인물들에 대한 정보를 제공할 경우 1천만 달러를 현상금으로 걸 만큼 사력을 다하고 있다는 것을 있습니다. 하루빨리 랜섬웨어에 대한 보안 인식을 높여 많은 사용자가 편안하고 안전하게 사용할 수 있는 환경이 되었으면 좋겠네요. 그럼 다음에 유익한 정보로 다시 찾아뵙겠습니다.